En mai 2024, des cybercriminels ont exploité des identifiants clients compromis pour accéder aux environnements Snowflake d’au moins 160 grandes entreprises, dans ce qui constitue l’une des plus grandes séries de fuites de données par compromission de plateforme cloud de l’histoire.

La méthode : credentials volés via infostealers

Snowflake lui-même n’a pas subi de vulnérabilité technique directe. Les attaquants — identifiés comme le groupe UNC5537, également connu sous les noms Scattered Spider ou ShinyHunters — ont utilisé des identifiants volés via des malwares de type infostealer présents sur les machines des employés des entreprises victimes. L’absence de MFA sur ces comptes Snowflake a rendu la compromission triviale. Une fois connectés avec des identifiants légitimes, les attaquants ont pu exfiltrer massivement les données sans déclencher d’alertes. Les données volées ont ensuite été utilisées pour des tentatives d’extorsion.

Des victimes de premier plan

Parmi les entreprises victimes figurent : Ticketmaster/Live Nation (dont les données de millions de clients ont été exposées), Santander Bank, AT&T; (plus de 50 milliards d’enregistrements d’appels), LendingTree, Advance Auto Parts, Neiman Marcus et Bausch Health. L’ampleur de l’incident a déclenché des enquêtes réglementaires dans plusieurs pays et mis en lumière les risques liés à la concentration de données sensibles dans des environnements cloud partagés, notamment lorsque les pratiques de sécurité de base comme le MFA ne sont pas appliquées.

La leçon principale : le MFA comme barrière critique

Cet incident démontre que la sécurité d’une plateforme cloud ne dépend pas uniquement du fournisseur lui-même. Les pratiques de sécurité des utilisateurs — et notamment l’activation du MFA et la protection des postes de travail contre les infostealers — sont tout aussi déterminantes.

Recommandations clés

  • Activer obligatoirement le MFA sur tous les comptes d’accès aux plateformes cloud (Snowflake, AWS, Azure, GCP)
  • Déployer des solutions EDR sur tous les postes de travail pour détecter et bloquer les infostealers
  • Surveiller en permanence les connexions aux espaces cloud (horaires et localisations inhabituelles)
  • Mettre en place une rotation régulière des identifiants de service et des clés d’accès API
  • Limiter les droits d’accès aux données cloud selon le principe du moindre privilège
  • Auditer régulièrement les configurations de sécurité des environnements cloud

Articles Similaires